WEB开发网
开发学院网络安全安全技术 利用Firefox审计Web2.0应用程序安全 阅读

利用Firefox审计Web2.0应用程序安全

 2009-09-16 00:00:00 来源:WEB开发网   
核心提示: ◆逻辑处理层——运行在浏览器中的JavaScript使得应用程序可以执行业务逻辑和通信逻辑,AJAX驱动的组件位于最底层,利用Firefox审计Web2.0应用程序安全(2),◆传输层——XMLHttpRequest(XHR),这个

◆逻辑处理层——运行在浏览器中的JavaScript使得应用程序可以执行业务逻辑和通信逻辑。AJAX驱动的组件位于最底层。 

◆传输层——XMLHttpRequest(XHR)。这个对象使得客户和服务器之间可以通过HTTP(S)进行异步通信并交换XML。

如图 1所示,右边的服务器端组件通常位于防火墙之后的企业基本设施之中,这些组件包括已部署的Web服务以及传统的Web应用程序资源。运行在浏览器上的 Ajax资源可以直接跟基于XML的Web 服务进行通信,并且无需刷新页面就能与其交换信息。所有这些通信,对最终用户来说都是透明的,换言之最终用户不会感觉到发生了任何重定向。实际上,“刷新”和“重定向”是第一代Web应用程序逻辑不可分割的一部分。在Web 2.0框架中,通过Ajax极大地减少了对于刷新和重定向的使用。

三、Web 2.0安全审计所面临的挑战

在这种异步的框架中,应用程序没有太多的“刷新”和“重定向”。其结果是,许多可以被攻击者利用的服务器端资源都隐藏起来了。安全专业人员在了解Web2.0应用程序时,需要注意下列三个重要方面:  

1. 发现隐藏的调用——这里要强调的是浏览器中已加载的页面生成的XHR驱动的调用。它们使用JavaScript通过HTTP(S)对后端服务器进行调用。  

2. 爬行问题——传统的网络爬虫应用程序会在两个方面遇到问题,一是重复浏览器的动作方面,二是在此过程中识别服务器端关键资源方面。如果资源是通过JavaScript利用一个XHR对象进行访问的,那么网络爬虫很可能根本就爬不到它。  

3. 逻辑发现——现在,Web应用程序是通过JavaScript进行加载的,所以逻辑和一个特定的事件是密不可分的。每个HTML页面都可能从服务器装载三个或者四个JavaScript资源。 这些文件中的每一个都有许多函数,但是一个事件可能仅仅用到了其中的很小一部分来执行其逻辑。

上一页  1 2 3 4 5 6 7  下一页

Tags:利用 Firefox 审计

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接